安全地交换车辆传感器信息
2020-01-13

安全地交换车辆传感器信息

用于安全地交换传感器信息的技术包括车辆(120)的车载计算系统(102),所述车载计算系统用于建立可信执行环境以及在所述可信执行环境与协调服务器(108)的相应可信执行环境之间的安全通信信道。私钥(168)被绑定至所述车载计算系统(102)的所述可信执行环境。所述车载计算系统(102)确认所述协调服务器(108)的真实性,接收由所述车辆(120)的传感器(156)生成的传感器数据,并且基于所述车载计算系统(102)的所述可信执行环境来生成证明引用。所述车载计算系统(102)进一步通过所述安全通信信道来向所述协调服务器(108)传输所述传感器数据、所述证明引用以及用所述私钥(168)签名的经密码签名的通信。

在框618中,协调服务器108判定是否从车辆120处接收传感器数据。如以上所讨论的,若是,则方法600前进到图7的框620,在所述框中,协调服务器108从车辆120处接收传感器数据连同车辆120的可信执行环境的证明引用以及TEE密钥168签名(例如,EPID密钥签名)。进一步地,在一些实施例中,协调服务器108还可以从车辆120处接收密钥证书。在框622中,协调服务器108验证TEE密钥168签名以及所述密钥/签名的撤销状态。这样做时,在框624中,协调服务器108可以检查制造商服务器112的(多个)撤销列表。如以上所讨论的,在一些实施例中,撤销列表允许制造商服务器112确定例如私钥撤销、基于签名的撤销和/或组公钥撤销。相应地,在说明性实施例中,协调服务器108判定用于对从车辆120处接收的密码签名消息进行签名的TEE密钥168(例如,EPID密钥)是否已经以任何方式被撤销。

示例19包括如示例13至18中任一项所述的主题,并且其中,建立所述可信执行环境包括:在所述车载计算系统的安全协处理器上建立可信执行环境;接收所述传感器数据包括:由所述车载计算系统的所述可信执行环境通过在所述安全协处理器与所述传感器之间的硬件保护的输入输出路径来接收所述传感器数据;并且所述私钥被绑定至所述安全协处理器。

现在参照图3,在使用中,协调服务器108建立用于在车辆120、122之间或更具体地在车载计算系统102、106之间协调对传感器信息的交换的环境300。说明性环境300包括可信执行环境模块302、通信模块304、和传感器数据处理模块306。此外,可信执行环境模块302包括证明模块308和密码模块310。可信执行环境模块302、通信模块304、传感器数据处理模块306、证明模块308、和密码模块310中的每一者都可以被具体化为硬件、软件、固件或其组合。例如,环境300的模块、逻辑和其他部件中的每一者都可以形成协调服务器108的处理器的一部分或以其他方式由其建立。

示例61包括如示例56至60中任一项所述的主题,并且其中,建立所述可信执行环境包括:分配所述协调服务器的存储器的线性地址空间的连续区域用于执行多条指令,所述连续区域受保护而免受源自所述连续区域外部的存储器访问。

在框434中,车载计算系统102生成车载计算系统102建立的可信执行环境的证明引用。例如,在一些实施例中,车载计算系统102可以生成安全飞地引用。进一步地,在框436中,车载计算系统102将传感器数据连同所生成的证明引用和TEE密钥168签名传输至协调服务器108。应当理解的是,在一些实施例中,车载计算系统102与协调服务器108建立用于安全通信的SIGMA会话(例如,基于EPID的SIGMA会话)。进一步地,车载计算系统102可以采用任何适当的方式来准备TEE密钥168签名(例如,EPID密钥签名)。例如,在一些实施例中,车载计算系统102使用TEE密钥168来对证明引用和/或传感器数据进行密码签名,以便传输至协调服务器108。在其他实施例中,车载计算系统102可以对要连同证明引用和传感器数据一起传输的另一条信息进行密码签名。进一步地,在一些实施例中,车载计算系统102还可以将TEE密钥168证书(例如,EPID证书)传输至协调服务器108(例如,以便对TEE密钥168签名进行验证)。如本文中所讨论的,协调服务器108验证密钥签名和证明引用,并且在成功验证后处理传感器数据。

示例4包括如示例1至3中任一项所述的主题,并且其中,确认所述协调服务器的真实性包括:基于所述协调服务器的所述相应的可信执行环境,从所述协调服务器处接收证明引用;以及验证所述证明引用。

示例52包括如示例51所述的主题,并且其中,用于建立所述可信执行环境的所述装置包括:用于分配所述车载计算系统的存储器的线性地址空间的连续区域用于执行多条指令的装置,所述连续区域受保护而免受源自所述连续区域外部的存储器访问。

可信执行环境模块202在车载计算系统102上建立安全且可信的执行环境(例如,用于执行与传感器数据的交换相关的指令)。具体地,在说明性实施例中,可信执行环境模块202建立因特尔®软件防护扩展(SGX)安全飞地。进一步地,在一些实施例中,安全协处理器158包括可信执行环境模块202。也就是说,可信执行环境模块202可以并入到安全协处理器158中或者以其他方式由其执行。在其他实施例中,可信执行环境模块202可以独立于安全协处理器158,并且/或者如以上所讨论的,可以其他方式建立可信执行环境。进一步地,在一些实施例中,TEE密钥168可以存储在安全协处理器158中,并且可以仅由可信执行环境模块202访问。如以上所讨论的,可信执行环境模块202接收由传感器156生成的传感器数据(例如,通过硬件保护的I/O路径166),以供传输至协调服务器108,以便维持传感器数据的完整性。此外,可信执行环境模块202可以基于由传感器156生成的传感器数据和/或从协调服务器108处接收的传感器数据(S卩,远程车辆122生成的传感器数据)来执行某个动作。例如,如以上所讨论的,车载计算系统102可以执行某个躲避动作(例如,停止车辆120或减速)。

示例22包括如示例13至21中任一项所述的主题,并且进一步包括:由所述车载计算系统基于由所述车辆的所述传感器生成的传感器数据以及由所述远程车辆生成的传感器数据来执行动作。

在框614中,协调服务器108判定是否将传感器数据传输至车辆120。若是,则在框616中,协调服务器108将从远程车辆122中的一台或多台远程车辆处接收的传感器数据传输至车辆120。应当理解的是,协调服务器108可以对各种特性(例如,相对位置数据、基于车辆的请求/指令等)进行分析,以便判定要向车辆120提供哪个传感器数据。例如,在一些实施例中,协调服务器108在车辆120的阈值距离内传输从车辆122处接收的所有传感器数据。进一步地,协调服务器108还可以向车辆120提供关于如何处理所传输的数据的指令、生成传感器数据的车辆122的身份、车辆122的相对位置、与传感器数据相关联的元数据、和/或其他相关信息。